Interne controles vormen een fundamenteel onderdeel binnen een ISAE3402 audit. Ze bepalen in grote mate of een organisatie in staat is om haar processen betrouwbaar en beheersbaar uit te voeren. Auditors richten zich daarom intensief op de manier waarop deze controles zijn ingericht, worden uitgevoerd en worden gemonitord.
Wat interne controles precies inhouden
Interne controles zijn mechanismen of procedures die zijn ontworpen om fouten, risico’s en afwijkingen binnen een organisatie te signaleren en te beperken. Ze zijn gericht op het waarborgen van de betrouwbaarheid van processen en informatie. Dit kan gaan om technische controles zoals toegangsbeveiliging van systemen, maar ook om procesmatige zaken zoals functiescheiding of autorisatie van betalingen.
Waarom interne beheersing centraal staat
Een belangrijk uitgangspunt van de ISAE3402 standaard is het aantonen dat processen binnen een serviceorganisatie beheerst verlopen. Zonder solide interne beheersmaatregelen kan een auditor moeilijk vaststellen dat processen betrouwbaar zijn. Het risico op fouten of fraude zou in dat geval te groot zijn. De mate van controle over de bedrijfsvoering speelt dus een directe rol in de uitkomst van een audit.
Hoe auditors interne controles beoordelen
Tijdens een ISAE3402 audit onderzoekt een auditor of de interne controles niet alleen bestaan, maar ook effectief werken in de praktijk. Dit gebeurt aan de hand van testprocedures, waaronder interviews, systeemonderzoek en steekproeven. De auditor kijkt bijvoorbeeld of controles tijdig worden uitgevoerd en goed worden vastgelegd.
Soorten controles die vaak terugkomen
Binnen veel organisaties komt een vaste set van interne controles voor die onder de loep wordt genomen. Denk hierbij aan toegangsbeheer tot systemen, controle op financiële transacties, changemanagementprocessen en monitoring van uitbesteed werk. Niet elke controle is relevant voor elke organisatie, maar het uitgangspunt is dat risico’s adequaat worden ondervangen.
Wat het control framework betekent
Een control framework is het geheel van beleidsregels, richtlijnen en procedures dat samen de basis vormt voor interne beheersing. Bekende frameworks zoals COSO of COBIT worden vaak als basis gebruikt bij het opzetten van interne controlemaatregelen. Binnen een ISAE3402 audit wordt gekeken of dit framework in de praktijk goed wordt toegepast.
Hoe interne controles worden vastgelegd
Voor een auditor is het belangrijk dat alle interne beheersmaatregelen aantoonbaar zijn. Dit betekent dat organisaties hun controles goed moeten documenteren. Vaak worden hiervoor control matrices of risicoregisters gebruikt, waarin staat welke risico’s zijn geïdentificeerd en welke controlemaatregelen daartegen bestaan. Ook de uitvoering van controles moet worden vastgelegd, bijvoorbeeld in logbestanden of rapportages.
Wat het belang is van consistentie
Een enkele goed uitgevoerde controle is niet voldoende binnen het kader van een ISAE3402 audit. Consistentie in de uitvoering is cruciaal. Controles moeten gedurende de gehele auditperiode regelmatig en volgens dezelfde methodiek plaatsvinden. Inconsistente toepassing kan leiden tot afwijkingen en vragen vanuit de auditor.
Rol van automatisering bij interne controles
Steeds meer interne controles worden ondersteund of volledig uitgevoerd door IT-systemen. Denk aan geautomatiseerde waarschuwingen, blokkades bij afwijkende handelingen of logging van gebruikersactiviteiten. Bij deze geautomatiseerde controles onderzoekt de auditor onder meer of de systemen juist zijn ingericht en of er sprake is van betrouwbare werking.
Hoe medewerkers betrokken zijn
Hoewel technologie een belangrijke rol speelt, blijven medewerkers een bepalende factor in de effectiviteit van interne beheersing. De mate waarin zij bewust zijn van risico’s en procedures volgen, heeft directe invloed op de uitkomst van de ISAE3402 audit. Opleiding, training en duidelijke instructies zijn daarom noodzakelijk.
Wat interne controles zeggen over betrouwbaarheid
Tot slot zijn interne controles niet alleen een auditvereiste, maar ook een indicatie van volwassenheid binnen de organisatie. Een organisatie die haar processen begrijpt, risico’s onderkent en beheerst, is beter voorbereid op externe toetsing. Binnen het kader van een ISAE3402 audit zijn deze elementen onlosmakelijk met elkaar verbonden.